DE19641009A1 - Verfahren und System zum Sichern von Daten - Google Patents
Verfahren und System zum Sichern von DatenInfo
- Publication number
- DE19641009A1 DE19641009A1 DE19641009A DE19641009A DE19641009A1 DE 19641009 A1 DE19641009 A1 DE 19641009A1 DE 19641009 A DE19641009 A DE 19641009A DE 19641009 A DE19641009 A DE 19641009A DE 19641009 A1 DE19641009 A1 DE 19641009A1
- Authority
- DE
- Germany
- Prior art keywords
- data
- terminal
- data carrier
- carrier
- memory
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Classifications
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F7/00—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
- G07F7/08—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
- G07F7/10—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
- G07F7/1008—Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06K—GRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
- G06K7/00—Methods or arrangements for sensing record carriers, e.g. for reading patterns
- G06K7/0013—Methods or arrangements for sensing record carriers, e.g. for reading patterns by galvanic contacts, e.g. card connectors for ISO-7816 compliant smart cards or memory cards, e.g. SD card readers
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/34—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
- G06Q20/341—Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/34—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
- G06Q20/357—Cards having a plurality of specified features
- G06Q20/3572—Multiple accounts on card
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/36—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes
- G06Q20/363—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes with the personal data of a user
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F7/00—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
- G07F7/08—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
- G07F7/0873—Details of the card reader
- G07F7/088—Details of the card reader the card reader being part of the point of sale [POS] terminal or electronic cash register [ECR] itself
- G07F7/0886—Details of the card reader the card reader being part of the point of sale [POS] terminal or electronic cash register [ECR] itself the card reader being portable for interacting with a POS or ECR in realizing a payment transaction
Description
Die Erfindung betrifft ein Verfahren zum Sichern von Daten, die in wenigstens einem Speicher
eines tragbaren Datenträgers enthalten sind, sowie ein System zum Sichern von solchen Daten.
Tragbare Datenträger werden für die Speicherung verschiedener Daten verwendet.
Beispielsweise dienen solche Datenträger für die Speicherung von Krankheitsdaten von
Personen, und inzwischen werden Datenträger auch für die Speicherung von Geldbeträge oder
andere Werteinheiten darstellenden Daten verwendet. Diese letztere Art von Datenträgern
wird auch als elektronische Geldbörse bezeichnet. Dabei stellt der Datenträger einen Wert
entsprechend dem darin gespeicherten Geldbetrag oder den darin gespeicherten Werteinheiten
dar, der bei einem Verlust oder einem Diebstahl des Datenträgers für den rechtmäßigen
Besitzer verloren ist. Andererseits ist es denkbar, daß ein betrügerischer Besitzer Daten in dem
Datenträger verändert, um höhere Werte vorzutäuschen und damit die kontoführende Bank
oder den Kartenausgeber zu schädigen. Auch kann in betrügerischer Absicht bei
Ersatzansprüchen von vorgeblich in Verlust geratenen Datenträgern ein höherer Wert, als er
noch in dem Datenträger gespeichert war, geltend gemacht werden. Ebenso kann bei
Datenträgern anderer Art der Verlust oder eine unberechtigte Veränderung von Daten
unangenehme oder sogar schwerwiegende Folgen haben.
Aufgabe der Erfindung ist es daher, ein Verfahren anzugeben, mit dem die Daten auf einem
Datenträger so gesichert werden, daß sie insbesondere bei einem Verlust des Datenträgers
oder bei einer unberechtigen Veränderung wieder hergestellt werden können.
Zur Lösung dieser Aufgabe wird daher ein erstes Terminal verwendet, das mit dem
Datenträger über Kontakte oder über elektrische oder magnetische Felder in Wirkverbindung
gebracht werden kann. Es befindet sich im Besitz des rechtmäßigen Benutzers des
Datenträgers und dient beispielsweise dazu, Daten im Datenträger anzuzeigen und bei
entsprechender Bedienung des Terminals berechtigt zu verändern, beispielsweise Geldbeträge
zu einem Kassenterminal eines Verkäufers zu übertragen. Dieses Terminal dient nun
erfindungsgemäß zusätzlich dazu, die in dem Datenträger enthaltenen Daten zu speichern, so
daß beispielsweise bei einem Verlust des Datenträgers die Daten im Terminal erhalten bleiben.
Dabei wird davon ausgegangen, daß der Benutzer den Datenträger und das Terminal
normalerweise an getrennten Stellen aufbewahrt. Die mit dem Datenträger verlorenen Daten
können dann mit Hilfe des Terminals wieder hergestellt werden.
Es ist möglich, daß die Daten im Datenträger beispielsweise durch eine fehlerhafte Funktion
oder eine Störung oder auch in betrügerischer Weise ohne Verwendung des ersten Terminals
verändert worden sind und dadurch nicht mehr mit den im Terminal gespeicherten Daten
übereinstimmen. Um diesen Fall erkennen zu können, ist es nach einer Ausgestaltung der
Erfindung zweckmäßig, daß die im Datenträger zu ändernden Daten vor einer Änderung
zunächst zum Terminal übertragen und mit den darin gespeicherten Daten verglichen werden.
Nur falls dann eine Gleichheit festgestellt wird, kann der Datenträger zum Verändern von
Daten angesteuert werden. Bei Ungleichheit wird dagegen ein Fehler gemeldet und jede
weitere Funktion gesperrt.
Eine weitere Sicherung gegen Fehlfunktionen oder betrügerische Manipulationen ist nach einer
weiteren Ausgestaltung der Erfindung dadurch möglich, daß die im Terminal gespeicherten
Daten in gleicher Weise wie im Datenträger verändert werden und die veränderten Daten mit
den vom Datenträger übertragenen veränderten Daten verglichen werden, bevor diese
veränderten Daten im Terminal gespeichert werden. Auf diese Weise wird sichergestellt, daß
sowohl der Datenträger als auch das Terminal ordnungsgemäß arbeiten. Bei einer
Abweichung der Daten wird ebenso wie vorhergehend beschrieben ein Fehler gemeldet und
jede weitere Funktion gesperrt.
Eine Ausnahme von der Forderung, daß die im Datenträger und im Terminal gespeicherten
Daten übereinstimmen müssen, ist allerdings dann gegeben, wenn die Daten im Datenträger
durch ein anderes Terminal berechtigt verändert worden sind. Dies wird selbstverständlich nur
nach einer vorhergehenden gegenseitigen Autentitätsprüfung möglich sein. Damit in diesem
Falle bei einer nachfolgenden Verbindung des Datenträgers mit dem ersten Terminal kein
Fehler gemeldet wird, wird bei einer solchen Veränderung von Daten durch ein anderes
Terminal der Datenträger so eingestellt, daß er bei der nachfolgenden Verbindung mit dem
ersten Terminal einmalig ein Steuersignal überträgt, das das erste Terminal veranlaßt, die
unmittelbar nach der Verbindung vom Datenträger zum Terminal übertragenen Daten ohne
Prüfung abzuspeichern. Eine berechtigte Veränderung von Daten im Datenträger wird
beispielsweise im Falle der elektronischen Geldbörse dann erfolgen, wenn ein neuer bzw.
zusätzlicher Geldbetrag in den Datenträger eingespeichert wird.
Das bisher beschriebene erfindungsgemäße Verfahren ist besonders zweckmäßig, wenn der
Datenträger als elektronische Geldbörse verwendet wird und derart aufgebaut ist, daß er einen
Speicher enthält, der einen ersten und wenigstens einen zweiten Speicherabschnitt aufweist.
Der erste Speicherabschnitt kann nur von außerhalb mit einem Geldbetrag gefüllt werden,
während ein Geldbetrag, der zum Bezahlen in das Terminal eines Verkäufers übertragen
werden soll, zunächst vom ersten Speicherabschnitt in einen zweiten Speicherabschnitt
übertragen werden muß. Dies erfolgt mit Hilfe des ersten Terminals, das also bereits für diesen
Zweck notwendig ist.
Das erste Terminal kann auf verschiedene Weise ausgebildet sein, wobei es aber stets eine
Energiequelle enthält. Eine Möglichkeit besteht darin, es als kleines Taschengerät auszuführen,
das sogar wesentlich kleiner sein kann als der Datenträger selbst, nämlich nur so groß, daß es
mit den Verbindungselementen des Datenträgers wie z. B. Kontakte oder Spule verbunden
werden kann. Ein solches Terminal kann beispielsweise als Schlüsselanhänger ausgeführt sein.
Das erste Terminal kann auch als elektronisches Notizbuch oder Taschenrechner ausgebildet
sein bzw. in ein solches Gerät oder in einen sogenannten "Personal Organizer" aufgenommen
sein. Weiter kann es auch in einen PC (Personal Computer) integriert sein, insbesondere einen
tragbaren PC. Auch kann es in ein Mobilfunk-Endgerät, ein sogenanntes Handy,
aufgenommen sein. Die hier beispielsweise aufgezählten Geräte weisen alle für ihren
Hauptzweck eine Tastatur und ein Anzeigeelement auf, die für die Zwecke des ersten
Terminals mit verwendet werden können.
Alle Geräte, die über eine Verbindung zu einem Datennetz oder ein Telefonnetz wie ein
Computer mit Modem oder ein Handy verfügen, können auch dazu benutzt werden, im
Datenträger andere berechtigte Veränderungen, beispielsweise Entladungen, Aufladungen
oder Nachladungen von Geldbeträgen oder anderen Werteinheiten, vorzunehmen. Allgemein
gesagt können berechtigte Veränderungen vorgenommen werden von ersten Terminals in
Ausführungsformen von Geräten, die in Verbindung beispielsweise mittels eines Telefon- oder
Datennetzes mit Einrichtungen in Verbindung gebracht werden, die zur Abgabe und
Übertragung von Befehlen zur Datenänderung im Datenträger wie Entladungen oder
Aufladungen berechtigt sind. Eine derartige Einrichtung kann z. B. der Rechner der
kontoführenden Bank oder eine entsprechende Einrichtung eines Anbieters von Waren oder
Leistungen sein.
Alle Ausführungen des ersten Terminals setzen aber voraus, daß zwischen dem Datenträger
und dem ersten Terminal eine eindeutige und überprüfbare Zuordnung bestehen muß, nämlich
über im Datenträger und im Terminal gespeicherte geheime Daten, damit es nicht möglich ist,
durch ein nicht berechtigtes Terminal Daten im Datenträger zu ändern oder Daten aus dem
Datenträger in ein nicht berechtigtes Terminal zu übertragen.
Die Erfindung betrifft ferner ein System zum Sichern von Daten mit einem tragbaren
Datenträger und einem damit zusammenarbeitenden Terminal sowie ein Terminal und einen
Datenträger für ein derartiges System.
Ausführungsbeispiele der Erfindung werden nachstehend anhand der Zeichnung näher
erläutert. Es zeigen
Fig. 1 ein schematisches Blockschaltbild eines Systems mit einem Datenträger und einem
Terminal,
Fig. 2 ein Flußdiagramm, das die Folge der Funktionen in diesem System darstellt.
In Fig. 1 enthält ein Datenträger 10 eine Steuerschaltung 12 sowie einen Speicher 14, der hier
zwei Abschnitte 16 und 18 aufweist. Dieser Datenträger 10 steht mit einem Terminal 20 in
Wirkverbindung, wie durch die Verbindung 9 angedeutet ist. Diese Verbindung 9 kann durch
Kontakte (hier nicht dargestellt) oder auch kontaktlos über elektromagnetische Wechselfelder
verwirklicht sein. Das Terminal 20 enthält ebenfalls eine Steuerschaltung 22 sowie einen
Speicher 24 und einen Vergleicher 26. Ferner sind im Terminal 20 eine Anzahl Drucktasten 28
und ein Anzeigeelement 30 vorgesehen. Die Steuerschaltung 22 steuert das Einschreiben und
Auslesen von Daten im Speicher 24. Die Drucktasten 28 geben entsprechend ihrer Betätigung
durch den Benutzer Signale an die Steuerschaltung 22 ab, während das Anzeigeelement 30
von der Steuerschaltung 22 Informationen empfängt und diese darstellt. Der Vergleicher 26
empfangt zu vergleichende Daten von der Steuerschaltung 22 und dem Speicher 24 und liefert
ein Vergleichsergebnis an die Steuerschaltung 22. Die Steuerschaltungen 12 und 22 werden
zweckmäßig durch Mikroprozessoren realisiert, die auf einem Halbleiter, insbesondere
zusammen mit dem Speicher 14 bzw. 24, integriert sind. Die Speicher 14 und 24 müssen dabei
nichtflüchtige Speicher sein, die auch ohne Betriebsspannung ihren Inhalt erhalten, also
insbesondere als EEPROM ausgeführt sein.
Im Datenträger 10, der in diesem Beispiel eine elektronische Geldbörse darstellen soll, steuert
die Steuerschaltung 12 das Einschreiben und Auslesen von Daten im Speicher 14, die hier
Geldbeträge darstellen. In der folgenden Beschreibung wird jedoch weiterhin der allgemeinere
Ausdruck Daten verwendet. In den Speicherabschnitt 16 werden Daten praktisch nur
eingeschrieben, die den jeweils insgesamt verfügbaren Geldbetrag darstellen. Vom Terminal
20 werden bei entsprechender Bedienung der Drucktasten 28 Steuersignale und Datensignale
über die Verbindung 9 zur Steuerschaltung 12 im Datenträger 10 übertragen, die bewirken,
daß die Steuerschaltung 12 einen Teilbetrag aus dem Speicherabschnitt 16 in den Abschnitt
18 überträgt, indem im Abschnitt 16 und 18 Daten entsprechend geändert werden, und nur aus
dem Abschnitt 18 können, wenn der Datenträger anschließend mit einem (nicht dargestellten)
Terminal z. B. eines Verkäufers in Verbindung gebracht wird, Geldbeträge über die
Verbindung 19 nach außerhalb übertragen werden, wobei im Abschnitt 18 Daten entsprechend
geändert bzw. gelöscht werden. Auf den Abschnitt 16 kann dabei nicht zugegriffen werden, so
daß ein darin enthaltener Geldbetrag nicht direkt nach außerhalb übertragen werden kann.
Um in den Datenträger 10 nur durch den rechtmäßigen Besitzer einen Geldbetrag vom
Abschnitt 16 in den Abschnitt 18 zu übertragen und damit über diesen Geldbetrag zu verfügen,
muß sichergestellt werden, daß diese Übertragung nur durch dasjenige Terminal 20 möglich
ist, das sich ebenfalls im Besitz des rechtmäßigen Benutzers befindet. Dazu wird nach einer
Verbindung des Datenträgers 10 mit dem Terminal 20 zunächst im bekannter Weise eine
Autorisierungsprüfung mittels geheimer Daten durchgeführt, die im Datenträger 10 und im
Terminal 20 gespeichert sind, bevor eine Veränderung von Daten im Datenträger und im
Terminal freigegeben wird. Diese Prüfung erfolgt automatisch.
Danach erfolgt eine weitere Prüfung, die anhand des Flußdiagramms in Fig. 2 näher erläutert
wird. Der Startpunkt 52 bezeichnet den Abschluß der vorhergehenden Autorisierungsprüfung
und den Beginn der weiteren Prüfung. Block 54 gibt an, daß die Daten aus dem Abschnitt 16
des Speichers 14 im Datenträger 10 ausgelesen und über die Verbindung 9 zum Terminal 20
übertragen werden. Dort führt die Steuerschaltung 22 diese übertragenen Daten dem
Vergleicher 26 zu und liest gleichzeitig aus dem Speicher 24 Daten aus, die ebenfalls dem
Vergleicher 26 zugeführt werden. Diese aus dem Speicher 24 ausgelesenen Daten sollen eine
Kopie der jeweils im Abschnitt 16 des Datenträgers 10 enthaltenen Daten sein, so daß der
Vergleicher im Normalfall eine Gleichheit der beiden zugeführten Daten an die
Steuerschaltung 22 meldet. Dieser Vergleich ist im Flußdiagramm mit Block 56 dargestellt.
Wenn dieser Vergleich der Daten jedoch eine Ungleichheit ergibt, wird gemäß Block 72 eine
Fehlermeldung auf dem Anzeigeelement ausgelöst, und danach ist die Prüfung
beendet, wobei keine weitere Funktion in dem System aus Datenträger 10 und Terminal 20
mehr möglich ist.
Wenn der Vergleich der Daten Gleichheit anzeigt, geht der Ablauf zum Block 58 weiter,
wobei ein Geldbetrag, den z. B. der Benutzer über die Drucktasten 28 eingegeben hat, im
Datenträger 10 vom Abschnitt 16 in den Abschnitt 18 übertragen werden soll. Diese Eingabe
veranlaßt die Steuerschaltung 22, Steuersignale und Datensignale zur Steuerschaltung 12 im
Datenträger 10 zu übertragen, wodurch die Steuerschaltung 12 einen dem eingegebenen
Geldbetrag entsprechenden Wert von den Daten im Abschnitt 16 subtrahiert und zu den
Daten im Abschnitt 18 addiert. Dies wird durch den Block 60 in Fig. 2 angedeutet. Danach
werden die veränderten Daten, die nach der Subtraktion im Abschnitt 16 enthalten sind, zum
Terminal 20 übertragen, wie durch den Block 62 angedeutet ist.
Im Terminal 20 hat die Steuerschaltung 22 ebenfalls den dem eingegebenen Geldbetrag
entsprechenden Wert von den Daten im Speicher 24 subtrahiert und das Ergebnis dem
Vergleicher 26 zugeführt, wie durch den Block 64 angegeben ist. Die vom Datenträger 10
übertragenen veränderten Daten werden nun ebenfalls dem Vergleicher 26 zugeführt. Bei
richtiger Ausführung der beschriebenen Operationen im Datenträger 10 und im Terminal 20
meldet der Vergleicher 26 wieder Gleichheit der Daten an die Steuerschaltung 22. Daraufhin
wird über die Steuerschaltung 22 das Einschreiben der veränderten Daten in den Speicher 24
ausgelöst, wie im Block 68 angegeben ist. Damit enthält der Speicher 24 wieder die gleichen
Daten wie der Abschnitt 16 des Speichers 14 im Datenträger 10, so daß im fehlerfreien Fall
das Terminal 20 stets die gleichen Daten enthält, d. h. denselben verfügbaren Geldbetrag wie
der Datenträger 10. Wenn der Datenträger verlorengeht oder gestohlen wird oder durch
äußere Einwirkungen die Daten in Datenträger verändert werden, ist somit anhand des
Terminals jederzeit feststellbar, welches der zuletzt gültige verfügbare Geldbetrag war. Der
Inhalt des Speichers 24 muß hierfür auslesbar sein, vorzugsweise über das Anzeigeelement 30.
Der zuletzt gültige Geldbetrag kann dann bei Verlust des Datenträgers in einen neuen
Datenträger von der kontoführenden Bank bzw. dem Ausgeber des Datenträgers
eingeschrieben werden, so daß der rechtmäßige Benutzer des Datenträgers praktisch keinen
Schaden erleidet. Ein Finder oder Dieb eines Datenträgers kann diesen nicht mißbräuchlich
verwenden, da er nur mit Hilfe des richtigen Terminals über den im Datenträger gespeicherten
Geldbetrag verfügen kann. Die kontoführende Bank erleidet dadurch ebenfalls keinen
Schaden.
Es ist jedoch auch möglich, daß ein rechtmäßiger Benutzer in betrügerischer Absicht seiner
Bank gegenüber behauptet, daß ihm der Datenträger, in dem noch ein größerer Geldbetrag
gespeichert war, durch Diebstahl oder Verlust abhanden gekommen ist, obwohl dies
tatsächlich nicht der Fall ist. Der betrügerische Benutzer würde dann von seiner Bank einen
neuen Datenträger mit dem vom Terminal angezeigten Geldbetrag erhalten, so daß der
Benutzer zweimal über diesen Geldbetrag verfügen könnte, nämlich mit beiden Datenträgern
getrennt. Um dies zu verhindern, könnten die geheimen Daten für die Autorisierungsprüfung
bei der Ausgabe beider Elemente durch die Bank, wobei unter Bank allgemein der Ausgeber
des Datenträgers zu verstehen ist, oder auf folgende Weise gespeichert werden.
Wenn ein neuer Datenträger erstmalig mit einem Terminal in Verbindung gebracht wird, gibt
der Datenträger geheime Daten an das Terminal ab. Diese geheimen Daten werden im
Datenträger beispielsweise durch einen Zufallsgenerator erzeugt und werden dann im
Datenträger gespeichert, oder sie liegen bereits im Datenträger gespeichert vor, beispielsweise
bei der Herstellung oder von der Bank darin eingeschrieben. Das Terminal empfängt diese
geheimen Daten und speichert sie nach einer eventuellen Verarbeitung ebenfalls. Zusätzlich
kann auch das Terminal weitere geheime Daten abgeben, die z. B. aus den empfangenen Daten
abgeleitet sein können und die im Datenträger gespeichert werden, ggf. nach einer
vorausgegangenen Verarbeitung. Dies darf aber nur einmalig möglich sein und muß
wenigstens im Datenträger gegen Wiederholung gesperrt sein, da sonst die Sicherheit gegen
Betrug bei Verlust oder Diebstahl des Datenträgers gefährdet wäre. Durch eine erste
Verbindung von Terminal und Datenträger wird also eine exclusive Zuordnung hergestellt,
d. h. weder kann das Terminal hiernach mit einem anderen Datenträger noch umgekehrt
zusammenwirken. Bei jeder Verbindung des Datenträgers mit dem Terminal überträgt das
Terminal geheime oder/oder zufällige Daten zum Datenträger, der sie gegen seine
gespeicherten geheimen Daten prüft. Bei erfolgreicher Prüfung überträgt ggf. der Datenträger
weitere geheime Daten zum Terminal, und es kann die Veränderung von Daten im Speicher 14
freigegeben werden. Statt dessen kann auch vor der Freigabe der Veränderung eine Prüfung
der Zuordnung mittels eines sog. Challenge-Response-Verfahrens auf der Basis der geheimen
Zahlen mit zufalligen Daten erfolgen.
Die einzige Ausnahme hiervon ist gegeben,wenn unter geeigneten Sicherungsmaßnahmen nach
Verlust eines von beiden Teilen ein legitimer Ersatz mit Autorisierung durch den Ausgeber
dem noch vorhandenen anderen Teil exklusiv zugeordnet wird, so daß wiederum eine erneute
exclusive Paarung entsteht. Die Zuordnung eines Terminals zu einem Benutzer sollte beim
Ausgeber registriert sein, um Betrugsmöglichkeiten für den Fall zu verhindern, wenn ein
betrügerischer Benutzer fälschlich behauptet, sein Terminal verloren zu haben.
In dem Ablauf gemäß dem Flußdiagramm in Fig. 2 dienen viele Schritte nur der Sicherheit
gegen Fehlfunktion oder Betrug und können grundsätzlich teilweise oder ganz weggelassen
werden. Die wesentlichen Schritte, die unbedingt durchgeführt werden müssen, um im
Terminal 20 eine ständige Kopie der Daten im Speicherabschnitt 16 im Datenträger 10 zu
erhalten, die den rechtmäßig verfügbaren Geldbetrag angeben, sind die Schritte 58 bis 62 und
68 in Fig. 2.
Eine Ausnahme von der Forderung, daß im Terminal 20 stets eine Kopie der Daten des
Datenträgers vorhanden sein muß, liegt dann vor, wenn in den Datenträger ein Geldbetrag von
z. B. der kontoführenden Bank übertragen wird, der zu dem noch vorhandenen Geldbetrag
addiert wird und über den insgesamt verfügt werden kann. Die Aufladung erfolgt mit einem
entsprechenden Terminal, wobei eine Autorisierungsprüfung durchgeführt wird, die sich von
der entsprechenden Prüfung beim Verbinden des Datenträgers 10 mit dem Terminal 20
unterscheidet. Durch das Übertragen des aufgeladenen Geldbetrags in den Datenträger
weichen die Daten im Speicherabschnitt 16 im Datenträger 10 von den im Terminal 20
gespeicherten Daten ab. Damit in diesem Fall kein Fehler gemeldet wird, wenn der
Datenträger 10 danach mit dem Terminal 20 in Verbindung gebracht wird, wird beim
Übertragen des zusätzlichen Geldbetrags die Steuerschaltung 12 im Datenträger 10 so
eingestellt, daß sie anschließend beim danach erstmaligen Verbinden mit dem Terminal 20
einmalig ein Steuersignal zum Terminal überträgt, wodurch dieses die Prüfung auf
Datengleichheit unterdrückt, wenn vor der Veränderung der Daten im Datenträger der Inhalt
des Speicherabschnitts 16 zum Terminal übertragen wird. Statt dessen wird dieser übertragene
Inhalt in den Speicher 24 des Terminals eingeschrieben, und der weitere Ablauf wird dann wie
ab dem Block 58 in Fig. 2 dargestellt durchgeführt. Die Wirksamkeit des Steuersignals ist
zweckmäßig abhängig von einem positiven Ergebnis einer Prüfung auf exclusive
Zusammengehörigkeit von Datenträger und Terminal.
Claims (16)
1. Verfahren zum Sichern von in einem Halbleiterspeicher eines tragbaren kartenförmigen
Datenträgers enthaltenen, von außerhalb veränderbaren Daten gegen Verlust durch
insbesondere Verlust des Datenträgers oder unberechtigte Veränderung der Daten, wobei der
Datenträger mit einem ersten Terminal in Wirkverbindung gebracht wird und über dieses erste
Terminal Daten im Speicher des Datenträgers veränderbar sind und nach jeder Veränderung
dieser Daten mindestens ein Teil der geänderten Daten automatisch zum ersten Terminal
übertragen und darin gespeichert wird.
2. Verfahren nach Anspruch 1, wobei vor einer Veränderung der Daten im Datenträger über
das erste Terminal vorgegebene, zu ändernde Daten vom Datenträger in das erste Terminal
übertragen und mit im ersten Terminal gespeicherten Daten verglichen werden und nur bei
Gleichheit die Veränderung von Daten im Datenträger über das erste Terminal freigegeben
wird.
3. Verfahren nach Anspruch 1 oder 2, wobei im Terminal gespeicherte Daten in gleicher
Weise verändert werden wie im Datenträger und die im Terminal veränderten Daten mit den
vom Datenträger übertragenen veränderten Daten verglichen werden und nur bei Gleichheit
dieser Daten die veränderten Daten im Terminal gespeichert werden.
4. Verfahren nach Anspruch 1, wobei die Daten in dem Datenträger über ein zweites
Terminal nach einer Autorisierungsprüfung verändert werden und der Datenträger eingestellt
wird, bei der nachfolgenden Verbindung mit dem ersten Terminal einmalig ein erstes
Steuersignal zu übertragen, das das erste Terminal veranlaßt, vorbestimmte Daten aus dem
Speicher des Datenträgers auszulesen und im ersten Terminal zu speichern.
5. Verfahren nach einem der Ansprüche 1 bis 4 für einen Datenträger zum Speichern von
Geldbeträge darstellenden Daten, wobei der Speicher des Datenträgers einen ersten und
wenigstens einen zweiten Speicherabschnitt aufweist, von denen
- - in den ersten Speicherabschnitt von außerhalb einen Geldbetrag darstellende Daten im wesentlichen nur einschreibbar sind und
- - aus dem zweiten Speicherabschnitt Geldbeträge darstellenden Daten nach außerhalb übertragbar sind und
Daten vom ersten Speicherabschnitt in den bzw. einen der zweiten Speicherabschnitte nur
dann übertragbar und Daten vom Speicher des Datenträgers in das erste Terminal übertragbar
und darin speicherbar sind, wenn der tragbare Datenträger mit dem ersten Terminal, das mit
dem Datenträger über im Datenträger und im ersten Terminal gespeicherte Geheimdaten eine
eindeutige und überprüfbare Zuordnung aufweist, in Wirkverbindung gebracht ist und das
Terminal in vorgegebener Weise bedient wird.
6. Verfahren nach Anspruch 5, wobei zwischen dem Datenträger und dem ersten Terminal
eine nicht aufhebbare eindeutige Zuordnung durch in beiden gespeicherte geheime Daten
besteht und diese Zuordnung durch einen automatischen Austausch der geheimen Daten oder
davon abhängiger Daten bei jeder Verbindung von Datenträger und erstem Terminal
automatisch geprüft wird und eine Veränderung von Daten im Datenträger und im ersten
Terminal nur bei erfolgreicher Prüfung freigegeben wird.
7. Verfahren nach Anspruch 5, wobei zwischen dem Datenträger und dem ersten Terminal
eine aufhebbare und geändert erneut herstellbare eindeutige Zuordnung durch in beiden
gespeicherte geheime Daten besteht und diese Zuordnung durch einen automatischen
Austausch der geheimen Daten oder davon abhängiger Daten bei jeder Verbindung von
Datenträger und erstem Terminal automatisch geprüft wird und eine Veränderung von Daten
im Datenträger und im ersten Terminal nur bei erfolgreicher Prüfung freigegeben wird.
8. System zum Sichern von Daten mit einem tragbaren Datenträger, der einen ersten
Halbleiterspeicher und eine erste Steuerschaltung enthält, die eingerichtet ist, um durch
Signale von außerhalb Daten in den ersten Speicher einzuschreiben und/oder daraus
auszulesen, und
mit einem ersten Terminal, das einen zweiten Speicher und eine zweite Steuerschaltung sowie Bedienungselemente und Anzeigeelemente enthält, wobei die zweite Steuerschaltung eingerichtet ist, um durch Signale von außerhalb und durch Betätigung der Bedienungselemente Daten von außerhalb in den zweiten Speicher einzuschreiben und auszulesen,
wobei der Datenträger und das erste Terminal miteinander in Wirkverbindung gebracht werden können und die erste Steuerschaltung eingerichtet ist, um nach Herstellen der Wirkverbindung Daten, die in ersten vorgegebenen Speicherplätzen des ersten Speichers enthalten sind, gemäß von der zweiten Steuereinrichtung zugeführten ersten Steuersignalen und Datensignalen zu verändern und die veränderten Daten abzuspeichern und außerdem an das erste Terminal zu übertragen, und die zweite Steuerschaltung eingerichtet ist, um die übertragenen Daten an vorgegebenen zweiten Speicherplätzen des zweiten Speichers einzuschreiben, wobei die veränderten Daten die zu sichernden Daten darstellen.
mit einem ersten Terminal, das einen zweiten Speicher und eine zweite Steuerschaltung sowie Bedienungselemente und Anzeigeelemente enthält, wobei die zweite Steuerschaltung eingerichtet ist, um durch Signale von außerhalb und durch Betätigung der Bedienungselemente Daten von außerhalb in den zweiten Speicher einzuschreiben und auszulesen,
wobei der Datenträger und das erste Terminal miteinander in Wirkverbindung gebracht werden können und die erste Steuerschaltung eingerichtet ist, um nach Herstellen der Wirkverbindung Daten, die in ersten vorgegebenen Speicherplätzen des ersten Speichers enthalten sind, gemäß von der zweiten Steuereinrichtung zugeführten ersten Steuersignalen und Datensignalen zu verändern und die veränderten Daten abzuspeichern und außerdem an das erste Terminal zu übertragen, und die zweite Steuerschaltung eingerichtet ist, um die übertragenen Daten an vorgegebenen zweiten Speicherplätzen des zweiten Speichers einzuschreiben, wobei die veränderten Daten die zu sichernden Daten darstellen.
9. System nach Anspruch 8, wobei die erste Steuerschaltung eingerichtet ist, um nach dem
Herstellen der Wirkverbindung die an den ersten Speicherplätzen enthaltenen Daten zum
ersten Terminal zu übertragen, und die zweite Steuerschaltung einen Vergleicher enthält, um
die an den zweiten Speicherplätzen enthaltenen Daten mit den übertragenen Daten zu
vergleichen und erst nach positivem Vergleichsergebnis die ersten Steuersignale und
Datensignale an den Datenträger zu übertragen.
10. System nach Anspruch 9, wobei die erste Steuerschaltung eingerichtet ist, um nach dem
Verändern von Daten in den ersten Speicherplätzen diese veränderten Daten an das erste
Terminal zu übertragen, und die zweite Steuerschaltung eingerichtet ist, um Daten in
vorgegebenen zweiten Speicherplätzen des zweiten Speichers in gleicher Weise wie der
Datenträger zu verändern und die veränderten Daten mit den vom Datenträger übertragenen
Daten zu vergleichen und bei Gleichheit an den zweiten Speicherplätzen zu speichern.
11. Terminal in einem System nach einem der Ansprüche 8 bis 10.
12. Terminal nach Anspruch 11, das in ein weiteres datenverarbeitendes,
Bedienungselemente und ein Anzeigeelement aufweisendes Gerät wie Rechner oder in ein
Mobilfunk- oder Telefon- oder Daten-Endgerät aufgenommen ist.
13. Terminal nach Anspruch 11 oder 12, das in ein anderes Gerät aufnehmbar oder mit
diesem verbindbar ist, das über eine Verbindung zu einem Datennetz verfügt und über ein
solches Netz mit Einrichtungen verbindbar ist, die zur Anforderung von Daten eingerichtet
und berechtigt sind zur Abgabe und Übertragung von Befehlen zur Datenänderung, auch zur
Aufladung.
14. Terminal nach Anspruch 12, wobei das Gerät, in das das erste Terminal aufgenommen
ist, über eine Verbindung zu einem Datenübertragungsnetz verfügt und mit Einrichtungen
verbindbar ist, die zur Anforderung von Daten und/oder zur Abgabe und Übertragung von
Befehlen zur Datenänderung, auch zur Aufladung, berechtigt sind.
15. Datenträger in einem System nach einem der Ansprüche 8 bis 10.
Priority Applications (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE19641009A DE19641009A1 (de) | 1996-07-12 | 1996-10-06 | Verfahren und System zum Sichern von Daten |
EP97111625A EP0818749A3 (de) | 1996-07-12 | 1997-07-09 | Verfahren und System zum Sichern von Daten |
CA002225584A CA2225584A1 (en) | 1996-07-12 | 1997-12-23 | Method and system for securing data |
US09/223,145 US6000606A (en) | 1996-06-10 | 1998-12-30 | Method and system for securing and restoring data of a portable chip-card if lost or stolen |
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE19628122 | 1996-07-12 | ||
DE19641009A DE19641009A1 (de) | 1996-07-12 | 1996-10-06 | Verfahren und System zum Sichern von Daten |
CA002225584A CA2225584A1 (en) | 1996-07-12 | 1997-12-23 | Method and system for securing data |
Publications (1)
Publication Number | Publication Date |
---|---|
DE19641009A1 true DE19641009A1 (de) | 1998-01-22 |
Family
ID=31888801
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE19641009A Withdrawn DE19641009A1 (de) | 1996-06-10 | 1996-10-06 | Verfahren und System zum Sichern von Daten |
Country Status (1)
Country | Link |
---|---|
DE (1) | DE19641009A1 (de) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE19850308A1 (de) * | 1998-10-30 | 2000-05-11 | Deutsche Telekom Mobil | Verfahren zum Schutz von Chipkarten vor missbräuchlicher Verwendung in Fremdgeräten |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE3809795C2 (de) * | 1987-03-26 | 1992-01-16 | Mitsubishi Denki K.K., Tokio/Tokyo, Jp | |
DE3103514C2 (de) * | 1980-02-04 | 1993-10-14 | Tandem Computers Inc Eine Ges | Verfahren und Vorrichtung zum Sichern von Transaktionen |
DE3927270C2 (de) * | 1989-08-18 | 1996-07-11 | Deutsche Telekom Ag | Verfahren zum Personalisieren von Chipkarten |
-
1996
- 1996-10-06 DE DE19641009A patent/DE19641009A1/de not_active Withdrawn
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE3103514C2 (de) * | 1980-02-04 | 1993-10-14 | Tandem Computers Inc Eine Ges | Verfahren und Vorrichtung zum Sichern von Transaktionen |
DE3809795C2 (de) * | 1987-03-26 | 1992-01-16 | Mitsubishi Denki K.K., Tokio/Tokyo, Jp | |
DE3927270C2 (de) * | 1989-08-18 | 1996-07-11 | Deutsche Telekom Ag | Verfahren zum Personalisieren von Chipkarten |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE19850308A1 (de) * | 1998-10-30 | 2000-05-11 | Deutsche Telekom Mobil | Verfahren zum Schutz von Chipkarten vor missbräuchlicher Verwendung in Fremdgeräten |
DE19850308B4 (de) * | 1998-10-30 | 2006-07-13 | T-Mobile Deutschland Gmbh | Verfahren zum Schutz von Chipkarten vor missbräuchlicher Verwendung in Fremdgeräten |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE2560688C2 (de) | ||
DE4339460C1 (de) | Verfahren zur Authentifizierung eines Systemteils durch ein anderes Systemteil eines Informationsübertragungssystems nach dem Challenge-and Response-Prinzip | |
EP0976113B1 (de) | Verfahren zur erzeugung eines guthabens mittels eines vorausbezahlten wertgutscheins | |
DE2840325C2 (de) | ||
DE60119400T2 (de) | Datenverarbeitungssystem, tragbare elektronische Vorrichtung, Zugangsvorrichtung zur tragbaren elektronischen Vorrichtung, und Verfahren zum Gebrauch von Speicherraum | |
DE60101045T2 (de) | System zur datensicherung auf einem datenträger | |
DE2738113A1 (de) | Vorrichtung zur durchfuehrung von bearbeitungsvorgaengen mit einem in eine aufnahmeeinrichtung der vorrichtung eingebbaren identifikanden | |
EP0608197A1 (de) | Verfahren als Sicherheitskonzept gegen unbefugte Verwendung eines Zahlungsmittels beim bargeldlosen Begleichen an Zahlstellen | |
EP0895203A2 (de) | Vorrichtung in Form eines Kartenbediengerätes | |
DE3523237A1 (de) | Anordnung zum sichern des transports von chipkarten | |
EP1196902B1 (de) | Verfahren zum betreiben eines zur ausführung von nachladbaren funktionsprogrammen ausgebildeten datenträgers | |
DE4230866B4 (de) | Datenaustauschsystem | |
EP0990226A1 (de) | System zum gesicherten lesen und bearbeiten von daten auf intelligenten datenträgern | |
DE102007041370B4 (de) | Chipkarte, elektronisches Gerät, Verfahren zur Herstellung einer Chipkarte und Verfahren zur Inbenutzungnahme einer Chipkarte | |
EP0818749A2 (de) | Verfahren und System zum Sichern von Daten | |
EP0806747B1 (de) | Verfahren und Anlage zum Transferieren von Geldbeträgen zwischen überschreibbaren Speichern einer Chipkarte | |
DE19732762A1 (de) | Vorrichtung in Form eines Kartenbediengerätes | |
DE69738532T2 (de) | Verfahren und Vorrichtung zum automatischen Ausserbetriebsetzen eines entfernbaren, tragbaren Tresors eines Frankiersystems | |
DE19641009A1 (de) | Verfahren und System zum Sichern von Daten | |
EP0203542A2 (de) | Verfahren und Anordung zum Überprüfen von Chipkarten | |
WO2013120473A1 (de) | Universalkarte zur vereinfachung des gebrauchs einer vielzahl an karten | |
EP0970449B1 (de) | Tragbarer datenträger und verfahren zu dessen kryptographisch gesicherten benutzung mit austauschbaren kryptographischen schlüsseln | |
DE19719275A1 (de) | System mit einem tragbaren Terminal und damit verbindbaren Datenträgern | |
DE10035598A1 (de) | Datenträger mit einem Datenspeicher | |
DE2858829C2 (de) | Verfahren zum Betreiben eines mit einem Mikroprozessor und wenigstens einem programmierbaren ROM-Speicher versehenen Informationsträgers |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
OP8 | Request for examination as to paragraph 44 patent law | ||
8139 | Disposal/non-payment of the annual fee |